TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究ログ

「WINNTI」、C&C通信にGitHubを悪用

f:id:tanigawa:20170806075226j:plain
f:id:tanigawa:20170806075646j:plain
出典: http://blog.trendmicro.co.jp/archives/14654


【概要】


【ブログ】

◆「WINNTI」、C&C通信にGitHubを悪用 (Trendmicro, 2017/03/30)
http://blog.trendmicro.co.jp/archives/14654


【インディケータ情報】


■ハッシュ情報(Sha256)

Sha256 ファイル名
06b077e31a6f339c4f3b1f61ba9a6a6ba827afe52ed5bed6a6bf56bf18a279ba cryptbase.dll
1e63a7186886deea6c4e5c2a329eab76a60be3a65bca1ba9ed6e71f9a46b7e9d loadperf.dll
7c37ebb96c54d5d8ea232951ccf56cb1d029facdd6b730f80ca2ad566f6c5d9b loadoerf.ini
9d04ef8708cf030b9688bf3e8287c1790023a76374e43bd332178e212420f9fb wbemcomn.ini
b1a0d0508ee932bbf91625330d2136f33344ed70cb25f7e64be0620d32c4b9e2 cryptbase.ini
e5273b72c853f12b77a11e9c08ae6432fabbb32238ac487af2fb959a6cc26089 wbemcomn.dll


■通信先(C&Cサーバ)

IPアドレス ポート
160.16.]243.129 443 (HTTPS)
160.16.243.129 53 (DNS)
160.16.243.129 80 (HTTP)
174.139.203.18 443 (HTTPS)
174.139.203.18 53 (DNS)
174.139.203.20 53 (DNS)
174.139.203.22 443 (HTTPS)
174.139.203.22 53 (DNS)
174.139.203.27 53 (DNS)
174.139.203.34 53 (DNS)
174.139.62.58 80 (HTTP)
174.139.62.60 443 (HTTPS)
174.139.62.60 53 (DNS)
174.139.62.60 80 (HTTP)
174.139.62.61 443 (HTTPS)
61.195.98.245 443 (HTTPS)
61.195.98.245 53 (DNS)
61.195.98.245 80 (HTTP)
67.198.161.250 443 (HTTPS)
67.198.161.250 53 (DNS)
67.198.161.251 443 (HTTPS)
67.198.161.252 443 (HTTPS)

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017